Définition du risque 

:
Le risque est le danger auquel une entreprise peut faire face représentée par
une activité, une structure ou un concept. cela peut être un fait, une action ou
un évènement qui est en mesure de créer des dommages a l’entreprise.
Tout les épargnants et investisseurs sont exposés au risque de perte, en effet
ils peuvent être amené a vivre deux issues possibles : le gain ou la perte
Toutefois il existe une prime de risque, plus l’entreprise investit sur un actif
risqué, plus son gain ou sa perte sera élevé a l’issue de la période
d’investissement, cette dernière souhaite naturellement un retour sur
investissement optimal.
Cependant, les agents économiques sont nombreux à chercher cette quête : le
marché départage les gagnants ou perdants en fonction de leur comportement
et prise de décision.
La finalité est de réduire les incertitudes, en ce basant sur la planification
financière te le management des risques.

SOURCES
- https://jobphoning.com/strategie-entreprise/gestion-des-risques#
- Tout les épargnants …… https://www.rachatducredit.com/definition-
risque-financier-9786/#
Objectifs du management des risques :

Toute entreprise détermine ses objectifs stratégiques dans le cadre de sa

mission, et définit une stratégie. Le cadre de management des risques a pour
but d’aider l’entreprise a atteindre ses objectifs, a savoir :
- Les objectifs stratégiques
- Les objectifs opérationnels
- Les objectifs de reporting
- Les objectifs de conformité
Le COSO 2 admet qu’une autre catégorie, la protection des actifs, est
également utilisée par certaines organisations. Il s’agit de dénoncer les
pertes des actifs ou des ressources d’une entité : des vols, des
improductivités et des inefficiences ; ou de qui s’avère être simplement une
mauvaise discision, par exemple vendre un produit a prix trop bas, ou ne
pas être capable de conserver des collaborateurs clés…etc.
Ces objectifs sont essentiellement opérationnels, bien que certains aspects
de la protection puissent être rattachés a d’autre catégorie.
La catégorie d’objectifs relatifs au reporting financier est très large
puisqu’elle englobe tous les rapports produits par une organisation, diffusés
en interne comme en externe. Entrent ainsi dans cette catégorie
d’objectifs :
- Les rapports utilisés par le management,
- Les rapports destinés à des tiers,
- Les documents établis à des fins de règlementaires ou pour d’autres
parties prenantes.
De même, le périmètre de ces rapports dépasse le cadre des états
financiers pour couvrir à la fois les données financières et les données non
financières.
Le COSO 2 précise que si l’on peut attendre du dispositif de management
des risques qu’il donnes une assurance raisonnable que les objectifs sont
atteints en ce qui concerne la fiabilité du reporting et de la conformité aux
lois et règlementations, puisque l’atteinte de ce type d’objectifs fait partie
du champ de contrôle de l’organisation et est intrinsèquement liée a la
façon dont les activités sont gérées, l’atteinte des objectifs stratégiques
peut, en revanche , échapper au contrôle de l’organisation.

Le COSO 2 souligne « qu’un dispositif de management des risques ne

saurait prévenir des jugements erronés ou des mauvaises décisions, ni un
événement extérieur imprévisible faisant échouer un projet. Il doit
cependant renforcer la possibilité, pour la direction, de prendre de
meilleures décisions. Par conséquent, pour les catégories d'objectifs
stratégiques et opérationnelles, le dispositif de management des risques
peut fournir une assurance raisonnable que la direction et le conseil
d'administration, dans son rôle de contrôle et de supervision, sont informés
régulièrement de la progression de l'organisation dans l'atteinte de ses
objectifs» .

SOURCES
YAICH Abderraouf, Le cadre de management des risques de l’entreprise
(coso 2),La revue comptable et financière n°85-troisieme trimestre
2009,p60 .

Avantages du management des risques :

Selon le cadre de gestion des risques COSO, le dispositif de management
des risques comprend les 7 avantages suivants :
1- Harmonisation de la stratégie de l'organisation en fonction du risque.
2-Renforcer les modes de traitement du risque : Le management des
risques apporte la rigueur nécessaire pour identifier et choisir, parmi
plusieurs possibilités, la meilleure méthode pour traiter un risque :
évitement, réduction, partage ou acceptation du risque.
3- Réduire les incidents et les pertes opérationnelles : L'identification et
l'analyse des risques permettent d'élaborer des réponses capables de
réduire les coûts ou les pertes associés.
4- Identifier et gérer les risques transverses : Le management des risques
vise à gérer les risques à la fois de manière individuelle et dans leur
globalité par la prise en compte des impacts corrélés.
5- Traiter, de manière intégrée, les risques multiples : chaque activité
comporte une grande variété de risques ; de nombreux risques
s'enchaînent ou sont liés. Le dispositif de management des risques offre la
possibilité d'intégrer les solutions pour gérer ces risques, ce qui permet de
traiter, de façon cohérente et complète, l'enchaînement des événements
générateurs des risques.
6- Saisir les occasions : L'identification générales des risques aide à
identifier les opportunités et à élargir les points de vue.
7-Améliorer l'utilisation du capital : La gestion des risques aide la direction à
évaluer efficacement les besoins en capital, à améliorer son utilisation et à
éviter une pertes de ressources.
SOURCE :
Idem p61 (….pour traiter un)
Idem p62
 II.3. Les changements apportés de COSO1 à COSO2
Depuis plus de vingt ans, le COSO est une référence indispensable en
matière de contrôle interne au niveau mondial. Le référentiel COSO
Contrôle Interne – Une Approche Intégrée publié en 1992 a défini les
fondamentaux du contrôle interne.
Toutefois, pour mieux refléter l’évolution de l’environnement économique
et réglementaire dans lequel évoluent les organisations - nouveaux risques,
attentes accrues en matière de gouvernance, rôle de plus en plus important
de la technologie, recours intensifié à l’externalisation, exigences de
reportings au-delà de la communication financière - une mise à jour du
référentiel a vu le jour le 14 mai 2013.
Le référentiel de 1992 ainsi que sa mise à jour en 2013 ont été rédigés par
Price Waterhouse Cooper (PwC), sous l’autorité du COSO, dont fait
notamment partie l’Institute of Internal Auditors (IIA). En tant que membre
de l’IIA, l’IFACI a participé à cette élaboration.14
II-3-1 Le cube du COSO :

14- HOTTIN. J P Associé PwC et coll., « Pocket Guide, COSO 2013 Une opportunité pour
optimiser votre contrôle interne dans un environnement en mutation », A partir de propos
tenus lors du Colloque du 21 mai 2013
Rendre compte (et faire un rapport), conformité (aux lois et règlements),
opérations (ordonnées, éthiques, économiques, efficientes et efficaces) et
protection des ressources.
Les rangs horizontaux à savoir les cinq éléments, et la troisième dimension
de la matrice correspondent aux différentes divisions de l’organisation et à
ses départements. Chaque rang de composantes croise les objectifs
généraux et s’y applique.
Par exemple, les informations financières et non financières, provenant de
sources internes et externes et qui relèvent de la composante « information
et communication », sont indispensables pour gérer les opérations, pour
rendre compte et pour assurer la conformité aux lois en vigueur.
En outre, les cinq éléments sont pertinents pour chacun des quatre
objectifs généraux.
Si nous nous concentrons , par exemple, sur l’objectif d’efficience et
d’efficacité des opérations, il est évident que les cinq éléments sont
concernés et jouent un rôle dans sa réalisation.
Le contrôle interne s’applique aussi bien à l’organisation dans son
ensemble qu’à ses départements pris isolément.
Ce lien est représenté par la troisième dimension qui représente
l’ensemble de l’organisme : les entités et les départements.
De cette manière, il est ainsi possible de se concentrer sur n’importe
quelle cellule de la matrice prise en particulier. Si le système de contrôle
interne ainsi définit est pertinent et applicable à toutes les organisations, la
manière dont la direction le met en œuvre varie largement en fonction de
l’organisation et dépend d’un certain nombre de facteurs qui lui sont
spécifiques.
Il s’agit notamment la structure organisationnelle, du profil de risque, du
contexte opérationnel, de la taille, de la complexité, des activités et du
degré de déréglementation.
Compte tenu de la situation spécifique de l’organisation, les dirigeants
feront une série de choix en ce qui concerne la complexité des processus et
des méthodologies mises en places pour appliquer les composants du
dispositif de contrôle interne. Le COSO constitue donc un cadre conceptuel
pour le système de contrôle interne.
Il permet aux entreprises et aux organisations de toutes sortes (à but
lucratif et non lucratif), grâce à la manière dont il a distingué les objectifs
généraux ainsi que les cinq composantes citées, d’évaluer leur dispositif de
contrôle interne afin d’identifier les éventuels
risques pouvant compromettre la réalisation de leurs objectifs.
 Il aide également à détecter les faiblesses majeures du système dans le but
de prendre les mesures correctives appropriées et permettre ainsi une
meilleure maitrise de leurs activités.

II-3-2 L’évolution du COSO :

À partir du COSO1 les différents éléments identifiés ont été affinés et
complétés avec une attention particulière sur le ventre mou de la pyramide,
c’est-à-dire l’évaluation des risques. On lui substitue alors une notion
nouvelle, celle d’Enterprise Risk Management (ERM), ou gestion globale du
risque. L’approfondissement des travaux du COSO1 a en effet démontré
que c’est ce processus, pris dans son ensemble, qui peut le plus
efficacement permettre l’implantation d’un bon contrôle interne qui ne
peut être réaliser sans une gestion globale des risques.16

II-3-2-1 Du COSO 1 au COSO2 :

Les travaux dits du COSO2 ont remplacé les objectifs du COSO 1 par les
éléments suivants :
Stratégie, opérations, reporting et conformité. 17
On remarque que la nouveauté consiste a mettre l’accent sur l’objectif
stratégique.
Le COSO2 a affiné l’épine dorsale du contrôle interne (évaluation des
risques) en le remplaçant par un nouveau concept appelé ERM (ENTERPRISE
RISK MANAGEMENT).

II-3-2-2 Le positionnement du COSO2 Par rapport à COSO1  :

Pour rappel, le COSO1 fournit un cadre de pilotage du contrôle interne.
Le contrôle interne est un processus mis en œuvre par le conseil
d’administration, les dirigeants et le personnel de l’organisation, dont le but
est de fournir une assurance raisonnable quant à la réalisation des objectifs
suivants :18
- Mise en place et optimisation des opérations ;
- Fiabilité des informations financières ;
- Respect des lois et réglementations en vigueur
SOURCES :
15-, GUENDOUZI. M et coll., « l’appréciation du contrôle interne selon le référentiel
COSO », en vue de l’obtention d’une licence en sciences de gestion option (finance),
UMMTO, 2010p69
16- RENARD. J, « théorie et pratique de l’audit interne », EYROLLES, 7e édition, Paris,
2010, p138
17- GUENDOUZI. M, Opcit., p.72
18- Ibid., p.73
Le COSO2 propose un cadre de référence pour la gestion des risques de
l’entreprise (ENTERPRISE RISK MANAGEMENT).
La gestion des risques de l’entreprise est un processus mené par le conseil
d’administration, les dirigeants et le personnel chargés de l’élaboration de
la stratégie de l’entreprise, destiné à :
- Identifier les événements possibles qui peuvent affecter l’organisation ;
- Gérer les risques afin qu’ils soient dans les limites du « RISKAPPETITE
(APPETENCE AU RISQUE) » de l’organisation ;
- Fournir une assurance suffisante quant à la réalisation des objectifs de
l’organisation.
Il parait que le COSO2 inclut les éléments du COSO1 au travers du troisième
point et le Complète sur le concept de gestion des risques.
Le COSO2 repose sur une vision de l’entreprise orientée vers les risques.
Le terme « RISKAPPETITE » est nouveau dans le COSO2.
Le « RISKAPPETITE » est le niveau de prise de risque accepté par
l’organisation dans le but d’accroitre sa valeur.
Différentes stratégies exposeront l’organisation à différents risques.
En conséquence le « RISKAPPETITE » doit être prise en compte dans la
définition de la stratégie de l’organisation afin de s’assurer que les résultats
de cette stratégie sont cohérents avec le « RISKAPPETITE » défini pour
l’organisation.
Bien que COSO 1 sois un cadre de contrôle interne, il a été critiqué. Ces
critiques étaient fondées sur le fait que le COSO 1 reposait sur un étalon-or
procédurale, axé sur les contrôles existants au sein de l'entreprise, leur
description et évaluation.
L’objectif de COSO 1 vise à construire un bon système de contrôle interne,
à atténuer les risques faisant face à l'entreprise : COSO 1 a été jugé, par
suite, comme statique se focalisant sur une orientation fonctionnelle.
COSO 2 est venu palier à ces lacunes et compléter le premier cadre, en
mettant en place un cadre réactif, notamment un cadre de gestion de
risque.
COSO 2 est donc un cadre de référence de gestion du risque. Un cadre
construit sur les principes de COSO 1 et fortement lié au cadre de contrôle
interne. En effet, COSO 2 englobe COSO 1 étant donné qu’il considère le
contrôle interne comme un élément essentiel dans la gestion du risque.
LIEN DE LA RECHERCHE DE COSO1 ET COSO2 :

https://www.ummto.dz/dspace/bitstream/handle/ummto/5207/memoire
%20pour%20l%27obtention%20du%20diplome%20de%20master
%20portant%20sur%20l%27%C3%A9valuation%20du%20controle
%20interne%20selon%20le%20r%C3%A9f%C3%A9rentiel%20COSO%20Cas
%20~1.pdf?sequence=1&isAllowed=y
Management des risques selon le référentiel COSO :
Le système de gestion des risques est intégré dans le processus de
management global de l'organisation mais toutes les actions de gestion ne font
pas partie du système de gestion des risques. Par conséquent, les notions
d’évaluation et d'appréciation utilisés dans la prise de décision, qui constituent
une partie importante du processus de management global, ne relèvent pas du
dispositif de management des risques.
Le COSO 2 précise : «qu'en règle générale, le dispositif de management des
risques intègre des éléments du processus du management global qui
permettent à la direction de prendre des décisions avisées. Toutefois, le fait
que des bons choix ont été faits ne permet pas de conclure que le dispositif est
efficace. Par ailleurs, si les objectifs spécifiques, les modes de traitement des
risques et les activités de contrôle sélectionnées relèvent de l'appréciation et
du jugement de la direction, les choix doivent se traduire par une diminution
des risques à un niveau acceptable, correspondant à l'appétence de
l'organisation pour le risque, et doivent donner une assurance raisonnable que
les objectifs de celle-ci seront atteints».
SOURCES :
YAICH Abderraouf, Le cadre de management des risques de l’entreprise (coso
2),La revue comptable et financière n°85-troisieme trimestre 2009,p59

Le management des risques est un processus continu qui identifie, évalue,

traiter et contrôle les risques auxquels une entreprise est confrontée. Voici les
principales étapes pour procéder au management des risques :

IDENTIFICATION DES
RISQUES

COMMUNICATION DES
RISQUES
GESTION DE CRISE

PROCESSUS DE
MANAGEMENT
DES RISQUES

EVALUATION DE LA
LA MAITRISE DES RISQUES GRAVITE DES RISQUES
L’identification des risques :
Dans un premier temp, les consultants spécialisés analysent tous les facteurs
pouvant constituer une menace pour l’organisation. Cela comprend un audit
interne complet pour évaluer la situation de l’intérieur puis une analyse de
l’environnement par le biais d’une étude du marché précise. Ainsi, la nature du
risque peut être déterminée, mais aussi classer en fonction de la typologie
(risques stratégiques, risques opérationnels et risques environnementaux).

L’évaluation des risques :

Une fois les risques identifiés, il est important d'évaluer leur probabilité de se
produire et leur impact potentiel sur l'organisation. Cela peut être fait en
utilisant des méthodes telles que l'analyse de risque qualitative ou
quantitative. L'évaluation des risques permet également de déterminer les
priorités en matière de gestion des risques et de décider des mesures à
prendre pour atténuer ou gérer les risques.

La maîtrise du risque :
C’est l’étape la plus importante, car elle va permettre de mettre en place des
dispositifs préventifs au sein de l’organisation. Quel que soit le domaine
d’activité (santé, travail, production, construction, artisanat, services,
technologies…), il existe des contrôles de qualité et des certifications. C’est
aussi le cas lorsque l’on met en place des actions de formation des employés.
Les mesures préventives peuvent aussi inclure la mise en place de processus à
suivre pour limiter le risque de survenance d’un problème. Dans les hôpitaux,
des protocoles de soin et de nettoyage ont été mis en place pour éviter
l’apparition d’infections nosocomiales. Les experts peuvent aussi vous
conseiller de l’éviter tout simplement en suspendant une action. Cela peut-
être par exemple l’interdiction d’utilisation pure et simple d’un produit, ou au-
delà d’une certaine date.
Ensuite, lorsque les mesures préventives n’ont pas suffi à écarter un risque, il
sera alors question de mettre en place des actions correctives pour en
diminuer les conséquences. Par exemple, l’utilisation d’une machine
représente un risque de blessure grave. Le port d’un équipement de sécurité
ne réduit pas le risque de survenance d’un problème, mais il permet d’en
atténuer les effets.
Les actions palliatives quant à elles consistent à transférer le risque vers un
tiers. C’est le rôle des assurances par exemple. Enfin, il y a des risques que l’on
dit acceptés, car ils ont une importance moindre. C’est le cas d’un coiffeur ou
d’une coiffeuse qui accepte d’utiliser des produits à base d’ammoniaque ou
d’un peintre qui préfère travailler sans gants.

La communication des risques :

Les risques identifiés, les mesures de traitement et les rapports de suivi
doivent être communiqués à toutes les parties prenantes concernées. Cela
peut inclure des employés, des clients, des partenaires commerciaux et des
autorités réglementaires.

La gestion de crise :
Enfin, il est important de mettre en place un plan de gestion de crise pour faire
face à d'éventuels incidents ou catastrophes. Le plan doit être régulièrement
testé et mis à jour pour assurer une réponse rapide et efficace en cas de crise.

En somme, le management des risques est un processus continu qui implique

une planification stratégique, une évaluation rigoureuse et une gestion efficace
des risques auxquels l'entreprise est confrontée. Il est important d’assurer la
viabilité à long terme de l'entreprise et de minimiser les pertes potentielles.

SOURCE :
https://www.onemansupport.com/content/quest-ce-que-le-management-des-
risques/IDE
CONCLUSION :

En conclusion, le système de contrôle interne selon COSO est un ensemble de

mesures et de procédures visant à protéger les actifs de l'entreprise, à garantir
la fiabilité des informations financières et à assurer le respect des lois et des
réglementations.

Le référentiel COSO identifie cinq composantes clés du contrôle interne :

l'environnement de contrôle, l'évaluation des risques, les activités de contrôle,
l'information et la communication, et le pilotage. La mise en place de ces
composantes peut aider les entreprises à établir une culture de gestion des
risques solide, axée sur la performance et la responsabilité.

Cependant, la mise en place d'un système de contrôle interne efficace selon

COSO doit être adaptée à chaque entreprise et prendre en compte les
différences sectorielles et réglementaires. En outre, le système de contrôle
interne doit être mis à jour régulièrement pour répondre aux changements de
l'environnement commercial.

En somme, le système de contrôle interne selon COSO est un outil essentiel

pour aider les entreprises à gérer les risques de manière proactive et efficace.
En adoptant ces approches, les entreprises peuvent améliorer leur
performance financière, renforcer leur position concurrentielle sur le marché,
et assurer la durabilité de leur activité à long terme.